Великі технологічні компанії в усьому світі пропонують більші виплати тим, хто може допомогти їм покращити безпеку своїх пристроїв шляхом зламу. Google заявив, що він передав дослідникам 1,5 мільйона доларів за останні 12 місяців.
Найбільша винагорода дісталася Гуан Гонгу за хак в один клік Pixel 3. Він отримав 161 337 доларів за програмою Android Security Rewards та 40 000 доларів за рахунок окремої ініціативи Chrome Rewards на загальну суму 201 337 доларів, повідомляє Forbes.
На початку цього тижня Forbes повідомив про власну bug bounty програму Huawei, яка ненадовго обігнала Google, запропонувавши 220 000 доларів за злом на багатьох пристроях Android. Раніше Google пропонував нагороду в розмірі 200 000 доларів.
Google не обіцяв збільшення виграшу в публікації, де були викладені оновлення. На запитання про них менеджер зі зв’язків із безпекою та конфіденційністю Android Скотт Вестовер сказав Forbes:
“Ми вважаємо, що програма Android Security Rewards виявилася дуже корисною для громади, тому ми хочемо продовжувати стимулювати кращих дослідників світу до участі . “
Нещодавнє оголошення Apple, можливо, послужило мотивацією. Але все більш прибутковий ринок приватного експлуатування, на якому мільйони пропонуються для одиночних хаків, може стати ще одним стимулом. Такі компанії як, Zerodium та Crowdfense, платять дослідникам більше, ніж виробникам технологій, продаючи свої результати клієнтам.
Напади можуть бути повторно використані для військових чи розвідувальних цілей, або для оборонних заходів. Але як неодноразово вказували органи з цифрових прав, нерозголошення постачальникам означає, що вони не можуть виправляти недоліки, залишаючи вразливими мільярди користувачів.
Французький дослідник Роберт Батист сказав Forbes, що хоча деякі хакери продовжують продавати урядам та їх підрядникам, повідомлення Google надіслало “дуже позитивний сигнал для спільноти інформаційної безпеки та безпеки в цілому”.
Як відомо, було оголошено пропозицію на 1 мільйон доларів, призначену для всіх, хто може провести унікальну атаку на свої телефони Pixel 3 та 4 до тих пір, поки вони дозволяють отримати постійний доступ до пристрою. Google також пропонує до 1,5 мільйона доларів США за розробки, знайдені в попередніх версіях Android для розробників. Нагороди за успішні хаки цих версій отримають 50% бонус. Компанія Apple оголосила щось подібне ще в серпні.
Також пропонується винагорода до 500 000 доларів за специфічні атаки, які призводять до крадіжки даних та обходу блокування екрана. Хакери(учасники змагань) можуть дізнатися, яку суму можна заробити на оновленій сторінці правил програми “Програма Android щодо винагород” від Google. Знову ж таки, це буде обмежено телефонами Pixel, де працює остання версія Android.
Нагадаємо, компанія D-Link попередила користувачів, що кілька моделей маршрутизаторів містять низку критичних уразливостей, експлуатація яких дозволяє віддаленим зловмисникам отримати контроль над обладнанням і викрасти дані. Як повідомив виробник, проблеми не будуть виправлені, оскільки обладнання застаріло і більше не буде отримувати оновлення безпеки.
Також Microsoft працює над реалізацією в майбутніх випусках Windows 10 протоколу “DNS поверх HTTPS” (DNS over HTTPS, DoH). Протокол DoH дозволяє виконувати дозвіл DNS поверх зашифрованого HTTPS-з’єднання, а DoT шифрує і “упаковує” DNS-запити через протокол Transport Layer Security (TLS). Додавши DoH в Windows 10 Core Networking, Microsoft прагне посилити захист приватності користувачів в Інтернеті шляхом шифрування всіх їх DNS-запитів.
Зверніть увагу, що Intel збирається видалити завантаження для старих апаратних компонентів з офіційного сайту. Хоча компанія не робила офіційної заяви з приводу видалення драйверів, багато користувачів помітили попередження при спробі завантажити окремі екземпляри програмного забезпечення. Тому якщо Ви використовуєте старе обладнання Intel, Вам слід якомога швидше завантажити оновлення BIOS і драйвери на свій пристрій.
До речі, для безпечного збереження даних давно радять використовувати менеджер паролі – наприклад, 1Password, LastPass або Bitwarden. Але сучасні веб-браузери також мають вбудовані менеджери паролів. Здавалося б, навіщо встановлювати інший? Як виявилося, є багато вагомих причин уникати вбудованого інструменту управління паролями для браузера.